Honeypotを植えて5日が経過しました。
Wow Honeypotを植えてから5日が立ちました 1日目から攻撃がまあまあ来ていてびっくりしましたが、2日目からは当たり前のように大量のアクセスが来て普通に怖いです;
今回は昨日分(19/4/23)のlogを見ていきたいと思います。
総アクセス数は4142件でした。(怖い) 多すぎるので大まかに取り上げていきたいと思います。
GET /manager/html #Tomcatへの攻撃 GET //MyAdmin/scripts/setup.php #php myadmin攻撃 GET /muieblackcat #Web scanner GET /robots.txt GET //recordings/misc/play_page.php GET /webdav/ GET htt[:]//api.ipify.org/ #その他baidu など不正中継 CONNECT www.~~~ #中間者攻撃? PROFIND
その他masscanなどのスキャンも見られました。
今回の攻撃ログの大半は GET manager/htmlで占められていました。しかも攻撃者は同IPで今まで8004件もの攻撃を自ハニーポットにアクセスしていました。(23日でのアクセスは4000以上) おそらくブルートフォース攻撃を仕掛けてきたのだと思います。
気になったのは、PROFIND 調べたところ、webdavのメソッドでファイルを操作できるっぽいです。webdavの脆弱性?っぽい際どいとこついてきますね。
recordings/misc/~~ というのはどうやらFreePBXという電話交換機的なのを調査しているっぽいです。
また、muieblackcatというボットがあるらしいです。 ボットはsetup/phpを探索するようです。 ボットというのが動いているのは恐ろしいですね。
構築から5日経ったはといえ、じっくり眺めたのは今回初めての経験だったので、とてもわくわくでしたね。 初心者なのでまだまだ理解できていない攻撃や、未知の攻撃が多種存在しているので、どんどん上げていきたいと思います。
また、最後に今回の記事で見にくい部分や、間違っている部分は追々訂正していきたいと思います。
今回の参考記事 Tomcatへの攻撃:
Tomcat 7 security - attempt to login? - Stack Overflow
phpMyadminへの攻撃:
phpMyAdminを狙った攻撃観察 - ろば電子が詰まつてゐる
Webdav PROFIND:
https://www.1nenmotsukana.info/?p=2346
muieblackcat:
Muieblackcat setup.php Web Scanner/Robot
中間者攻撃:
ハニーポット観察記録(23) at www.morihi-soc.net
FreePBX: